Rëndësia e bllokimit të vizitave në burime të ndaluara prek çdo administrator që mund të akuzohet zyrtarisht për mosrespektim të ligjit ose urdhrave të autoriteteve përkatëse.
Pse të rishpikni timonin kur ka programe dhe shpërndarje të specializuara për detyrat tona, për shembull: Zeroshell, pfSense, ClearOS.
Menaxhmenti kishte një pyetje tjetër: A ka produkti i përdorur një certifikatë sigurie nga shteti ynë?
Ne kishim përvojë duke punuar me shpërndarjet e mëposhtme:
- Zeroshell - zhvilluesit madje dhuruan një licencë 2-vjeçare, por doli që kompleti i shpërndarjes që na interesonte, në mënyrë të palogjikshme, kryente një funksion kritik për ne;
- pfSense - respekt dhe nder, në të njëjtën kohë i mërzitshëm, duke u mësuar me linjën e komandës së firewall-it të FreeBSD dhe jo mjaftueshëm i përshtatshëm për ne (mendoj se është çështje zakoni, por doli të ishte mënyra e gabuar);
- ClearOS - në harduerin tonë doli të ishte shumë i ngadaltë, ne nuk mund të arrinim në testime serioze, kështu që pse ndërfaqe kaq të rënda?
- Ideco SELECTA. Produkti Ideco është një bisedë më vete, një produkt interesant, por për arsye politike jo për ne dhe dua t'i "kafshoj" edhe për licencën për të njëjtin Linux, Roundcube, etj. Ku e morën idenë se duke prerë ndërfaqen në Piton dhe duke hequr të drejtat e superpërdoruesit, ata mund të shesin një produkt të përfunduar të përbërë nga module të zhvilluara dhe të modifikuara nga komuniteti i Internetit të shpërndarë nën GPL&etj.
E kuptoj që tani pasthirrmat negative do të derdhen në drejtimin tim me kërkesa për të vërtetuar në detaje ndjenjat e mia subjektive, por dua të them që kjo nyje rrjeti është gjithashtu një balancues i trafikut për 4 kanale të jashtme në internet, dhe secili kanal ka karakteristikat e veta. . Një tjetër gur themeli ishte nevoja që një nga disa ndërfaqe rrjeti të funksiononte në hapësira të ndryshme adresash, dhe unë gati pranoni që VLAN-et mund të përdoren kudo ku është e nevojshme dhe jo e nevojshme jo gati. Ka pajisje në përdorim si TP-Link TL-R480T+ - ato nuk sillen në mënyrë perfekte, në përgjithësi, me nuancat e tyre. U bë e mundur konfigurimi i kësaj pjese në Linux falë faqes zyrtare të Ubuntu . Për më tepër, secili prej kanaleve mund të "bie" në çdo moment, si dhe të rritet. Nëse jeni të interesuar për një skenar që aktualisht po funksionon (dhe ky ia vlen një botim i veçantë), shkruani në komente.
Zgjidhja në shqyrtim nuk pretendon të jetë unike, por unë do të doja të bëja pyetjen: "Pse një ndërmarrje duhet të përshtatet me produkte të dyshimta të palëve të treta me kërkesa serioze harduerike kur mund të konsiderohet një opsion alternativ?"
Nëse në Federatën Ruse ekziston një listë e Roskomnadzor, në Ukrainë ka një aneks të Vendimit të Këshillit të Sigurisë Kombëtare (për shembull. ), atëherë as drejtuesit lokalë nuk flenë. Për shembull, na u dha një listë e vendeve të ndaluara që, sipas mendimit të menaxhmentit, dëmtojnë produktivitetin në vendin e punës.
Duke komunikuar me kolegët e ndërmarrjeve të tjera, ku si parazgjedhje të gjitha faqet janë të ndaluara dhe vetëm me kërkesë me lejen e shefit mund të hyni në një faqe specifike, duke buzëqeshur me respekt, duke menduar dhe "duke pirë duhan mbi problemin", arritëm të kuptojmë se jeta është ende mirë dhe ne filluam kërkimin e tyre.
Duke pasur mundësinë jo vetëm për të parë në mënyrë analitike se çfarë shkruajnë në "librat e amvisave" për filtrimin e trafikut, por edhe për të parë se çfarë po ndodh në kanalet e ofruesve të ndryshëm, vumë re recetat e mëposhtme (çdo pamje nga ekrani është pak e prerë, ju lutem kuptoni ):
Ofruesi 1
— nuk shqetëson dhe imponon serverët e vet DNS dhe një server proxy transparent. Epo?.. por ne kemi akses atje ku na duhet (nëse na duhet :))
Ofruesi 2
- beson se ofruesi i tij kryesor duhet të mendojë për këtë, mbështetja teknike e ofruesit kryesor madje pranoi pse nuk mund të hapja faqen që më duhej, gjë që nuk ishte e ndaluar. Unë mendoj se fotografia do t'ju argëtojë :)
Siç doli, ata përkthejnë emrat e vendeve të ndaluara në adresa IP dhe bllokojnë vetë IP-në (ata nuk shqetësohen nga fakti që kjo adresë IP mund të presë 20 sajte).
Ofruesi 3
— lejon trafikun të shkojë atje, por nuk e lejon atë të kthehet përgjatë rrugës.
Ofruesi 4
— ndalon të gjitha manipulimet me paketat në drejtimin e specifikuar.
Çfarë të bëni me VPN (me respekt për shfletuesin Opera) dhe shtojcat e shfletuesit? Duke luajtur me nyjen Mikrotik në fillim, madje morëm një recetë me burime intensive për L7, të cilën më vonë u desh ta braktisnim (mund të ketë më shumë emra të ndaluar, bëhet e trishtueshme kur, përveç përgjegjësive të saj të drejtpërdrejta për rrugët, në 3 duzina shprehje ngarkesa e procesorit PPC460GT shkon në 100 %).
.
Çfarë u bë e qartë:
DNS në 127.0.0.1 nuk është absolutisht një ilaç; versionet moderne të shfletuesve ende ju lejojnë të anashkaloni probleme të tilla. Është e pamundur të kufizohen të gjithë përdoruesit në të drejta të reduktuara, dhe nuk duhet të harrojmë numrin e madh të DNS-ve alternative. Interneti nuk është statik dhe përveç adresave të reja DNS, faqet e ndaluara blejnë adresa të reja, ndryshojnë domenet e nivelit të lartë dhe mund të shtojnë/heqin një karakter në adresën e tyre. Por ende ka të drejtë të jetojë diçka si:
ip route add blackhole 1.2.3.4Do të ishte mjaft efektive për të marrë një listë të adresave IP nga lista e vendeve të ndaluara, por për arsyet e përmendura më lart, ne kaluam në konsideratat rreth Iptables. Kishte tashmë një balancues të drejtpërdrejtë në versionin 7.5.1804 të CentOS Linux.
Interneti i përdoruesit duhet të jetë i shpejtë, dhe Browser nuk duhet të presë gjysmë minutë, duke konstatuar se kjo faqe nuk është e disponueshme. Pas një kërkimi të gjatë arritëm te ky model:
Skedari 1 -> /script/mohuar_host, lista e emrave të ndaluar:
test.test
blablabla.bubu
torrent
pornoSkedari 2 -> /skript/range e mohuar, lista e hapësirave dhe adresave të ndaluara të adresave:
192.168.111.0/24
241.242.0.0/16Skedari i skriptit 3 -> ipt.shduke bërë punën me ipables:
# считываем полезную информацию из перечней файлов
HOSTS=`cat /script/denied_host | grep -v '^#'`
RANGE=`cat /script/denied_range | grep -v '^#'`
echo "Stopping firewall and allowing everyone..."
# сбрасываем все настройки iptables, разрешая то что не запрещено
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
#решаем обновить информацию о маршрутах (особенность нашей архитектуры)
sudo sh rout.sh
# циклически обрабатывая каждую строку файла применяем правило блокировки строки
for i in $HOSTS; do
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p tcp -j REJECT --reject-with tcp-reset;
sudo iptables -I FORWARD -m string --string $i --algo bm --from 1 --to 600 -p udp -j DROP;
done
# циклически обрабатывая каждую строку файла применяем правило блокировки адреса
for i in $RANGE; do
sudo iptables -I FORWARD -p UDP -d $i -j DROP;
sudo iptables -I FORWARD -p TCP -d $i -j REJECT --reject-with tcp-reset;
done
Përdorimi i sudo është për faktin se kemi një hak të vogël për kontroll përmes ndërfaqes WEB, por siç ka treguar përvoja në përdorimin e një modeli të tillë për më shumë se një vit, WEB nuk është aq i nevojshëm. Pas zbatimit, kishte një dëshirë për të shtuar një listë të vendeve në bazën e të dhënave, etj. Numri i hosteve të bllokuar është më shumë se 250 + një duzinë hapësira adresash. Vërtet ka një problem kur shkoj në një sit përmes një lidhjeje https, si administratori i sistemit, kam ankesa për shfletuesit :), por këto janë raste të veçanta, shumica e nxitësve për mungesën e aksesit në burim janë ende në anën tonë , ne gjithashtu bllokojmë me sukses Opera VPN dhe shtojcat si friGate dhe telemetry nga Microsoft.
Burimi: www.habr.com